Ну да чего уж там. В истории с аптечными кибератаками есть продолжение.
Компания «Доктор Веб» отвечает на обвинения компании «Спарго Технологии» и поясняет выявленные факты промышленного шпионажа за российскими аптеками.
После того как компания «Доктор Веб» опубликовала результаты расследования целенаправленной атаки на множество сетей российских аптек и фармацевтические компании с использованием вредоносной программы семейства BackDoor.Dande, на официальном сайте акционерного общества «Спарго Технологии» было размещено сообщение, утверждающее, что «компания DrWeb», нарушая нормы деловой этики, распространяет заведомо ложную и недостоверную информацию о содержании вирусных файлов в программе «ePrica». «Доктор Веб» вступается за тезку и помогает компании «Спарго Технологии» разобраться в ситуации.
Необходимо отметить, во-первых, что компания «Спарго Технологии» перед публикацией своего обращения за дополнительной информацией в компанию «Доктор Веб» не обращалась и сочла возможным обвинить нас, при этом намеренно исказив суть опубликованной нами информации.
Во-вторых, на момент, когда компания «Доктор Веб» в 2012 году начала свое расследование, заражению подверглись более 2800 аптек и российских фармацевтических компаний (по данным Службы вирусного мониторинга нашей компании). К слову сказать, жалобы от наших клиентов и стали причиной начала расследования. На данный же момент обнаруженный специалистами компании «Доктор Веб» шпионский модуль BackDoor.Dande.61 определяет как вредоносное программное обеспечение 41 производитель антивирусных программ из 63, представленных на ресурсе Virustotal.
В-третьих, важно отметить, что в программе ePrica вредоносных файлов не содержалось, соответственно, компания «Доктор Веб» и не могла об этом ничего писать. ePrica — это приложение, разработанное компанией «Спарго Технологии», которое позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Используемая этой программой динамическая библиотека PriceCompareLoader.dll имеет экспортируемые функции, выполняющие запуск библиотек в памяти. PriceCompareLoader.dll вызывается из PriceComparePm.dll. Эта библиотека пытается скачать с сайта полезную нагрузку, расшифровать ее с помощью алгоритма AES и запустить из памяти. Троянец загружался с сайта ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу сразу в память компьютера, имел действительную цифровую подпись «Спарго», и именно такая схема скрытной загрузки вредоносной программы и привела к необходимости столь длительного расследования с целью определения источника заражения. Похищенную с зараженных компьютеров коммерческую информацию троянец выгружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, распространявшимся через ПО M.E.Doc, бэкдор был скрыт в модуле обновления программы.
В-четвертых, заявления «Спарго Технологии» о чистоте и безопасности выпускаемых решений в связи с внесением программы ePrica в Единый реестр российских программ являются безосновательными, так как этот реестр никак не связан с вопросами безопасности программных продуктов. Комментирует Евгения Василенко, исполнительный директор АРПП «Отечественный софт», член Экспертного совета по развитию отрасли информационных технологий, эксперт Временной комиссии Совета Федерации по развитию информационного общества:
«При рассмотрении заявлений в реестр российских программ для ЭВМ и баз данных, исходный код программного обеспечения не запрашивается. Заявитель вправе предоставить исходные коды. Но в любом случае, дистрибутив программного обеспечения проверяется экспертами на соответствие критериям российского программного обеспечения, утвержденным законодательством. В первую очередь экспертный совет осуществляет проверку дистрибутива на соответствие заявленным классам программного обеспечения, а также на отсутствие компонентов сторонних разработчиков, на которые у заявителя нет исключительных прав.
Реестр является подтверждением страны происхождения программного обеспечения. По вопросам безопасности программных продуктов существуют другие процедуры сертификации и лицензирования».
Таким образом, информация, распространяемая компанией «Спарго Технологии» относительно гарантированной безопасности программного обеспечения «Спарго Технологии» только на основании включения его в Единый реестр отечественного ПО, может ввести в заблуждение и дезинформировать клиентов данной компании.
… и это ещё наверняка не конец.
Комментарии (33)
aspire
11.07.2017 08:22Интересная история. Но могу сказать что расследовать это одно, а по факту отлавливать вирус это другое. В нашей компании стоял ваш антивирус, не уточнял у сисадмина, но какая-то корпоративная версия. Так вот по факту это нас никак не защитило, антивирус только констатировал факт что кто-то пытается вмешаться в работу винды. Что я этим хотел сказать, лучше вы свои силы потратили на свою программу недели на написание этой статьи. p.s. первая часть истории была лучше.
mayorovp
11.07.2017 08:59+1Во-первых, обычно статьи и программы пишутся разными людьми. А во-вторых, любой популярный антивирус никогда не будет отлавливать свежие вирусы, сколько его не дописывай. Пора уже осознать, что антивирусы защищают от старых угроз, а не от новых.
aspire
11.07.2017 10:22Я и не утверждал что это делает один человек, а просто изложил свою мысль. Как не печально констатировать факт но Microsoft Security Essentials — бесплатный, и он ловил вирус, а купленный доктор веб не смог. Просто немного раздражает когда фирмы пытаются пропиариться на сложившийся ситуации. Посмотрите как часто они публиковали статьи до появления этого вируса, и как после.
doctorweb
11.07.2017 10:26Анекдотические свидетельства не являются доказательством. Вы о каком, собственно, вирусы говорите? Впрочем, это немного не место для данной статьи, где, вообще-то, о конкретной кибератаке на аптеки говорится. А обсудить работу на винде и с каким-то конкретным трояном приглашаю на профильный ресурс: https://forum.drweb.com/index.php?showforum=46
aspire
11.07.2017 10:49Я надеюсь что вы понимаете что я не могу разглашать вам внутреннюю «кухню» компании где я сейчас работаю. А говорю я про сейчас всем известного «Петю». Извините если чем обидел, так как накипело после поднятия с нуля больше 150 рабочих мест.
doctorweb
11.07.2017 11:03Тогда, надеюсь, вы это с техподдержкой обсудили, там всё приватно. Ну вы же сами понимаете, что я вообще ничего сейчас не знаю о вашей конкретной ситуации, что вы за компания, как там было что, поэтому ничего прокомментировать не могу. Да и тема не о том.
BillGilbertN
11.07.2017 21:37если у Вас произошла проблема с «Петей» после такого количества предупреждений — грошь Вам цена как специалисту!
aspire
12.07.2017 09:24Я работаю программистом и не отвечаю за безопасность сети, это не моя обязанность. И толку от тех сообщений не было, так как не могли определить в чем причина, а через полчасика после заражения все компы на фирме в один момент времени начали выключаться. На решение проблемы было 30 минут, от первых сообщений до выключений. Не думаю что за такой период времени можно успеть решить проблему.
doctorweb
11.07.2017 10:32Ну, в целом, так, но не совсем так — превентивная защита хорошо работает против неизвестных шифровальщиков, например. Например, тот же воннакрай ловился превентивкой ещё до того, как его кто-то глазами посмотрел.
teecat
11.07.2017 12:51эвристиком антивирусных баз, то есть голым антивирусом. С петей сложнее — там ловился один компонент
doctorweb
11.07.2017 10:23См. выше — антивирус отлично ловил самого шпиона, расследование было на тему источника бэкдора, ловить это никак не мешало.
MazayZaycev
11.07.2017 12:42Тенденция весьма пугающая, если будет взлом производителя инструментов для системного администрирования (бэкапы вируализация), то это будет гораздо серьезнее чем отчётность и аптеки.
Вариант с одновременным шифрованием всех виртуальных дисков на гипервизоре и резервных копий уже не кажется невероятным.teecat
11.07.2017 12:53По этому я и вижу последнее время рекомендации все хранить в базах данных, использовать версионирование данных и выносить базы данных на отдельную защищенную машину, куда никто не имеет доступа. Да тормознее во многих случаях, но почти гарантированная надежность от случайного заражения
varnav
11.07.2017 15:59Гм, ну давайте представим средненький банк, 20 файлсерверов, сто миллионов файлов, миллион папок с разграничением прав на базе NTFS/AD. Как их хранить в базах данных?
teecat
11.07.2017 16:28С другой стороны. Банк. Средний региональный. Зашифрован сервер с АБС.
Тут проблема в том, что админы даже крупнейших компаний не могут обеспечить защиту от вредоносных файлов (и кстати я не говорю, что антивирус обязан быть, я знаю, что есть методы защиты и без него и в дополнение к нему). Вариантов двагипноизлучатели на орбитуобучить всех правильной методике организации защиты и контроля защищенности (да хоть менять пароли на не менее стойкие раз в три месяца и обновлять систему периодически) — или внедрить избыточно дорогое решение, не трогающее любимые болячки.
Как вы думаете — какой вариант реальнее в реальности?
varnav
11.07.2017 16:29Да нет, что вы, я не против. Просто как это технически выполнить — перенести файлопомойку в СУБД?
teecat
11.07.2017 16:38И я также с вами согласен. Но я за свою жизнь и не такие извращения видел, когда вместо правильных решений городятся костыли по причине современные архитектуры, правильный методологический подход, европейские стандарты качества и тд — прикрывающей тупое не знание как оно все работает внутрях
Вот стопудово ничего не изменится после последней эпидемии кроме временного всплеска закупки антивирусовaspire
12.07.2017 09:34Был антивирус и не помог. Нам руководство поставило задачу по внедрению системы полного бекапирования рабочих станций и серверов, а также выработать новые подходы к безопасности сети. Но тоже с вами соглашусь что это будет временный скачок и через пару месяцев все прекратиться.
Idot
12.07.2017 04:36doctorweb — можете ли проверить подозрительную деятельность игры Blade Symphony?
Многие антивирусы её детектируют как троян, но их техподдержка в ответ советует… отключить все антивирусы.
(готов для этой цели подарить вам официальную копию игры со Стим)doctorweb
12.07.2017 11:04Caravus, конечно, в принципе прав, но посмотреть мы, конечно, можем. Дарить ничего не нужно :) Просто зашлите то, что детектируется, через https://vms.drweb.ru/sendvirus/
Idot
12.07.2017 16:59Выслал.
Дарить ничего не нужно :)
А как вы не имея копии игры сможете проверить, что это файл делает?
doctorweb
12.07.2017 17:00Да как всегда. Если детектируется именно конкретный файл, значит, что-то вредоносное (или потенциально вредоносное) есть именно в нём, и ковырять надо его.
Pro666
12.07.2017 10:56Мне, как системному администратору аптечной сети очень интересная данная тема. Уже более 5 лет работаем с ПО Эприка, используем антивирусы НОД и Касперский, ничего подозрительного и тем более опасностей, связанных с эприкой за это время не имели. Специально на днях еще раз всё пересканировал, проверил все резервные копии за последние 4 года — ничего…
doctorweb вы пишете «Похищенную с зараженных компьютеров коммерческую информацию...», т.е. вами было проанализировано множество случаев такого заражения где источником были библиотеки Эприки?
Как объяснить факт, что наша сеть не заразилась? Получаем обновления стандартными средствами эприки, с сайта ws.eprica.ru
Библиотека PriceCompareLoader.dll с хэшем SHA-1 B3915AA38551A5B5270B23E372AE1241161EC598 указанная в вашем сообщении о BackDoor.Dande.61 на данный момент в используемой версии эприка присутствует.doctorweb
12.07.2017 11:00А вы уверены, что не заразились? CureIT! для корпоративных компьютеров является пиратством и бла бла бла, но мы же на хабре :) Попробуйте кьюритом пройтись.
А случаев было много, да. Тысячи. Понятное дело, конкретные аптеки разглашать не можем.Pro666
12.07.2017 11:53Уверен. Мне за это платят хорошие деньги. Если бы заразились, то точно бы знал, ну и не задавал бы тут вопросов…
Если честно, то им (куреит) тоже прошелся. Ничего. Также пробовал при запущенной эприке…
Возможно, если факт распространения вируса именно Спарго имеется, это была целенаправленная единичная
атака? Иначе как я думаю все бы клиенты позаражались и в итоге выйти на источник было бы просто.
Однако еще раз перечитав https://vms.drweb.ru/virus/?_is=1&i=15448691, увидел скриншот с цифровой подписью SPARGO, на котором ей подписана не такая старая версия эприки от января 2016 года. Т.е. Dr.WEB утверждает, что по крайней мере с 2012 до 2016 года Спарго продолжали заражать клиентов вирусами посредством эприки? Тогда для меня еще большей загадкой остается факт того, что за 3 года не произошло ни одного заражения наших компьютеров, на которых установлена эприка.doctorweb
12.07.2017 12:44Уточнил у аналитика, вот что он посоветовал.
Поищите в реестре ключ DriverPackageIdPkg
должно быть что то типа «DriverPackageIdPkg»="\\??\\C:\\WINDOWS\\system32\\isaPnpPrt.inf_x86_neutral_1c30fe3e981e1595"
если найдется то была версия dande с драйвером
alexq2
doctorweb
Информация о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии.
В принципе, поймать утечку данных можно без особых проблем, да и даже сам шпион ловился без проблем антивирусом (по крайней мере, у нас, за других говорить не могу). А вот найти бэкдор, через который шпион залезал каждый раз — вот это уже было проблемой, на которую ушло 4 года расследований.
teecat
Ни разу не обвинение. Аренда удобного сервера в иной стране в целях затруднения расследования
Заметить атаку сложно, так как это аптеки (вариант — магазины/...) — два-три человека в штате, айтишник по вызову. Нужно строить по сути SIEM на уровне материнской компании, если она есть